Ataque ao Moodle - ficheiros de imagens e documentos corrrompidos

Ataque ao Moodle - ficheiros de imagens e documentos corrrompidos

por Arménio Martins -
Número de respostas: 5

Olá a todos,

O Moodle da nossa escola sofreu um ataque danificando todos os ficheiros das disciplinas. Foi substituido o conteúdo de cada ficheiro por um script. As imagens não aparecem nem os documentos abrem, ou melhor, abrem mas aparece apenas o script.

Como tornar mais seguros os ficheiros que se encontram no uploaddata?

Agradeço que me ajudem a tentar resolver este problema.

Obrigado

Arménio Martins

Nota média:  -
Em resposta a 'Arménio Martins'

Re: Ataque ao Moodle - ficheiros de imagens e documentos corrrompidos

por Jose' Coelho -
Tinha a pasta moodledata exposta à web (debaixo do código do Moodle, por exemplo)?

É de toda a conveniência que assim não seja.

Em todo o caso é pouca a informação que nos revela. Convém saber como se deu o ataque, e alguns dados da instalação que possam se relevantes.

Se a fragilidade está no sistema operativo, é um assunto, se for no código do Moodle, seria outro completamente diferente.

O que é que faz o script? Foi o script que substituiu os ficheiros, executando em nome do utilizador que o arranca, a substituição dos ficheiros que esse utilizador tenha acesso?

É contra estes problemas que convém ter um backup actualizado.

Cumprimentos,
José Coelho
Nota média:  -
Em resposta a 'Jose' Coelho'

Re: Ataque ao Moodle - ficheiros de imagens e documentos corrrompidos

por Arménio Martins -

Obrigado José Coelho,

"Tinha a pasta moodledata exposta à web (debaixo do código do Moodle, por exemplo)?"

Peço desculpa, mas não entendi muito bem a questão.

Eu tenho a pasta uploaddata dentro do directório moodle que se encontra em public_html. Há quem defenda que esta pasta deveria estar fora do public_html e depois alterar o caminho no config.php. Será que isso resolve o problema?

Envio, em anexo, algumas imagens para documentar melhor o que se passa: As imagens não aparecem e quando verificamos em Ficheiros da disciplina essas imagens, elas abrem com o código que apresento numa das imagens anexas. Contudo, na pasta uploaddata esse mesmo ficheiro de imagem encontra-se normal. Portanto, deduzo que é o caminho que está corrompido. O mesmo se passa com os ficheiros doc, txt, pdf, pps.

Não consigo descobrir onde se encontra a falha.

Na edição de recursos também desapareceu a barra de menus de apoio como mostra a imagem em anexo.

Agradeço, desde já, a ajuda.

Cumprimentos

Arménio Martins

Nota média:  -
Em resposta a 'Arménio Martins'

Re: Ataque ao Moodle - ficheiros de imagens e documentos corrrompidos

por Jose' Coelho -
Sim, era isso que queria dizer. Se tiver a pasta do moodledata, que lhe chama uploaddata dentro da pasta do Moodle, alguém que saiba o caminho onde essa pasta está, e mais algumas informações, pode fazer um upload de um ficheiro php para o Moodle (mesmo sendo estudante), e depois executá-lo no servidor.

Coloque essa pasta fora do public_html o mais rapidamente possível.


No entanto o problema aparenta ser mais simples. Pela imagem ataque2.jpg tem vários ficheiros com tamanho distinto, e datas antigas, pelo que tudo leva a crer que os ficheiros estão lá, apenas não são retornados via web.

Pode verificar isso se entrar no sistema operativo e ir à localização dos ficheiros, para ver se eles estão lá, ou se foram todos substituídos, que penso que não.


Se isso se confirmar, então apenas o ficheiro file.php não está em condições, ou não é executado. Pode por exemplo verificar a sua data, para confirmar que não foi substituído, e permissões se estão iguais aos outros ficheiros.

Se houve substituição recente desse ou outros ficheiros, actualize o código do Moodle.

Verifique também se houve alguma mudança recente na rede onde está o servidor.

Cumprimentos,
José Coelho
Nota média:  -
Em resposta a 'Jose' Coelho'

Re: Ataque ao Moodle - ficheiros de imagens e documentos corrrompidos

por Arménio Martins -

Mais uma vez agradeço o seu esclarecimento. Sem ele não teria resolvido o problema. 

Vou tentar agora resolver as questões de segurança para que, de futuro, não aconteça mais incómodos.

Já agora: como se faz a actualização do código do moodle?

A versão que tenho é a 1.9.3. Será melhor actualizar para uma versão mais recente?

Cumprimentos

Arménio Martins

Nota média:  -
Em resposta a 'Arménio Martins'

Re: Ataque ao Moodle - ficheiros de imagens e documentos corrrompidos

por Jose' Coelho -
Para actualizar o Moodle basta descarregar a versão que quer, e substituir o código no sistema operativo (excepto o config.php, que convem manter com a configuração).

Depois entra como administrador no Moodle e vai a notificações, e o Moodle detecta que o código foi mudado, e faz as actualizações que necessita à BD.

Se tem a versão 1.9.3 não precisa ter pressa de actualizar para a 1.9.5. Nós temos a 1.9.1, apenas corrigimos dois ou três pequenos bugs, mas não actualizá-mos o código todo. No entanto se desconfia que algum ficheiro foi alterado, mais vale actualizar.

Cumprimentos,
José Coelho
Nota média:  -